科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全依靠域名或IP地址查找入侵者位置(2)

依靠域名或IP地址查找入侵者位置(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在Internet上,一般用whois服务来查询连线单位的登记资料。whois本来应该是用来查某人的电话或是其他资料的,这有点像是 finger 或是现在很流行的寻人服务,比如像 whowhere、bigfoot 之类的(感兴趣的读者可以登陆www.whowhere.com查阅),但目前NIC用whois来查询连线单位的电话以及住址

来源:enet 2010年4月11日

关键字: 入侵攻击 入侵检测

  • 评论
  • 分享微博
  • 分享邮件

  利用域名与IP地址进行追踪查询

  根据域名查询

  在Internet上,一般用whois服务来查询连线单位的登记资料。whois本来应该是用来查某人的电话或是其他资料的,这有点像是 finger 或是现在很流行的寻人服务,比如像 whowhere、bigfoot 之类的(感兴趣的读者可以登陆www.whowhere.com查阅),但目前NIC用whois来查询连线单位的电话以及住址,技术联络人等位资料会存放于该单位的whois主机(whois+NIC名称+net)中。例如亚太地区网络管理中心whois server为whois.apnic.net。

  当你知道某台主机的域名以后,可以依照下面顺序查出连线单位的电话住址等资料。第一步,先看有没有国码。没有国码的,向“whois.internic.net”查询;有国码的就可以向“whois.国码 nic.net”查询。美国军事单位的是例外,其联络明细需要向“nic.ddn.mil”查询。

  当你通过域名查询入侵者的资料时,如你能从 nslookup 查出某一 IP 地址的 FQDN,则可以直接向当地NIC查出入侵者的资料。

  下面举个从美国入侵的简单例子:

  比如有人由 xxx.aol.com 入侵,其主机名中没有国码,因此就直接向 InterNIC 查询,由此我们可以查到

  America Onli 的技术负责人以及电话、传真等资料,发个传真去告洋状!

  (2)通过IP 方法

  注意! 以下作为范例之 IP 地址均为虚构,如有雷同,纯属巧合。读者不许擅自利用这些地址进行非法活动,否则后果自负。

  首先我们来看几个小例子。

  由168.95.109.222的例子:假设你不知道这是HiNet的网络,而这个有域名的话,则须先将IP地址分等级,再向InterNIC查询()。

  由15.4.75.2子:首先IP地址进行分析:此IP地址是15开头,为一个Class A网络,故向InterNIC查询: 查出此惠普公司所有。

  由203.66.35.1入侵的例子:这是一个Class C IP,因此必须查询至少二次,一般是三次。顺序为国际→洲际→所属国家。先查203.0:结果是出来一大堆数据,怎么办?只好再追问Class B,由于InterNIC将部份Class C交给洲际管理机构来负责配给,因此有些Class C的资料会在洲际管理机构,此时先向InterNIC查出所属洲际管理机构(用 Class B 问)。可以调查到 203.66 为亚太地区洲际网络,于是向whois.apnic.net 询问203.66.35以查询到是Forwardness Technology Co.Ltd.所属IP,从结果数据中,我们还可以查询到电话等信息。

  在以上的查询方法中,可以由任一主机名称或IP地址查到连线者所属的网络资料,如果你发现该网络单位下属主机对你的网络有攻击行为,就可以将资料告诉对方的系统管理员。

  注意!

  几乎所有使用TCP/IP通讯协定的计算机都会有hosts、network等档案。这是所有TCP/IP系统的共同习惯(只有Microsoft的软件会有lmhosts 来配合Microsoft自己的wins域名解译系统)。如果读者有注意到的话,可以发现Novell Netware伺服器也有一个etc目录,还有hosts等档案!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章